Admin : Page créée avec « ==Commandes==

 fb-ar1#show monitor  No SPAN configuration is present in the system.

==Session SPAN==

 monitor session 1 source interface Fa3/11 rx moni... »

2009-04-03T10:26:01Z

Page créée avec « ==Commandes== <pre> fb-ar1#show monitor No SPAN configuration is present in the system. </pre> ==Session SPAN== <pre> monitor session 1 source interface Fa3/11 rx moni... »

Nouvelle page

==Commandes==

<pre>
fb-ar1#show monitor
No SPAN configuration is present in the system.
</pre>

==Session SPAN==

<pre>
monitor session 1 source interface Fa3/11 rx
monitor session 1 destination interface Fa3/12
</pre>

==Session RSPAN==

Avec RSPAN le dump peut se faire à travers plusieurs switchs, via un VLAN spécial.

Sur le switch source :

<pre>
vlan 100
remote-span

monitor session 1 source Fa3/11 rx
monitor session 1 destination remote vlan 100
</pre>

Sur le switch destination :

<pre>
monitor session 1 source remote vlan 100
monitor session 1 destination Fa3/12
</pre>

==Session ERSPAN==

Sur le switch source :

<pre>
monitor session 1 type erspan-source
description ...
source Fa3/11 rx
! only VLAN 155 for a source port that is a trunk
filter 155
destination
ip address 2.2.2.2
erspan-id 1
origin ip address 1.1.1.1
</pre>

Sur le switch destination :

<pre>
monitor session 1 type erspan-destination
description ...
destination Fa3/12
source
ip address 2.2.2.2
erspan-id 1
</pre>

==Remarques==

* Attention, seulement deux sessions source peuvent être configurées sur un switch (détruire les sessions avec <code>no monitor session all</code>).

* Configurer le port de sortie comme un trunk pour voir l'encapsulation VLAN dans le dump (mais pas d'encapsulation VLAN dans le mode ERSPAN).

* Vérifier que le port destination est bien réservé pour SPAN, le trafic sur ce port sera interrompu.

* Pendant que la session est configurée, le port destination apparaît comme up/down, ce qui génère une alarme.
Cependant, on garde le monitoring sur le port, pour que le port soit disponible le jour où on configure une session.

==Dump sur backup-router==

Exemple : une attaque est détectée sur port 2/8 de fb-ar1.

On veut pouvoir faire un tcpdump sur backup-router pour connaître les IP responsables.

Le port 3/12 sur le 6500 est utilisé comme mirror port.

L'interface fxp2 sur backup-router est réservé pour le traffic venant du port Foundry 3/12 de fb-ar1.
L'interface fxp2 de backup-router et le port 3/12 sont reliés par un câble droit (déjà fait normalement).

Configurer le port suspect pour envoyer le traffic vers backup-router :

<pre>
monitor session 1 source interface Fa2/8 rx
monitor session 1 destination interface Fa3/12
</pre>

On peut maintenant lancer un tcpdump sur fxp2 de backup-router.

Attention, les paquets arrivent du 6500 avec un tag VLAN (même quand le port mirroring destination n'est pas configuré en trunk), donc tcpdump ne fonctionnera correctement que si une interface VLAN est créée sur backup-router :

<pre>
vconfig add fxp2 199
ifconfig vlan199 up
tcpdump -n -i vlan199 host 212.43.199.76
</pre>

Si l'attaque vient de l'extérieur vers une machine hébergée, il faut [[blackhole|null router]] les IP attaquées.

Si l'attaque vient d'une machine hébergée et est dirigée vers l'extérieur, il faut ajouter une accesss list sur l'interface du Foundry pour bloquer l'attaque.

Par exemple, si on veut bloquer tous les paquets avec IP source 212.43.248.166 venant sur l'interface 2/8 :

<pre>
conf t
no ip access-list extended dos
ip access-list extended dos
deny ip host 212.43.248.166 any
permit ip any any

interface f2/8
ip access-group dos in
</pre>

On peut aussi appliquer une [[Limitation de bande passante sur Catalyst|limitation de bande passante]].

[[Catégorie:Cisco]]

Cisco Port mirroring - Historique des versions

Admin : Page créée avec « ==Commandes==
fb-ar1#show monitor No SPAN configuration is present in the system.
==Session SPAN==
monitor session 1 source interface Fa3/11 rx moni... »